Microsoft ostrzegł użytkowników przed niebezpieczną falą ataków phishingowych AiTM, które dotknęły już ponad 10 000 organizacji. Ataki mają miejsce od września 2021 r. i mają na celu kradzież danych logowania użytkowników Office 365.
Atakujący są w stanie ominąć Office365 MFA
Korzystając ze stron phishingowych typu adversary-in-the-middle (AiTM), złośliwe strony są w stanie ominąć uwierzytelnianie wieloskładnikowe (MFA) funkcja wykorzystywana przez użytkowników Office365 poprzez tworzenie fałszywej strony uwierzytelniającej Office365.
W tym procesie atakujący dążą do uzyskania pliku cookie sesji ofiary poprzez wdrożenie serwera proxy między celem a podszywaną witryną.
Zasadniczo osoby atakujące przechwytują sesje logowania do Office365 w celu kradzieży danych logowania. Jest to znane jako przejmowanie sesji. Ale na tym rzeczy się nie kończą.
Ataki AiTM prowadzą do ataków BEC i oszustw płatniczych
Gdy atakujący uzyska dostęp do skrzynki pocztowej ofiary za pośrednictwem witryny AiTM, może przystąpić do przeprowadzania kolejnych ataków na biznesowe wiadomości e-mail (BEC). Oszustwa te polegają na podszywaniu się pod personel firmy wysokiego szczebla w celu nakłonienia pracowników do wykonania działań, które mogą wyrządzić szkodę organizacji.
Doprowadziło to do wielu przypadków oszustw płatniczych poprzez dostęp do prywatnych dokumentów finansowych organizacji docelowej. Pobranie tych danych często prowadzi do przelewania środków na konta kontrolowane przez atakującego.
W długim poście na blog Microsoft Security, firma twierdzi, że „wykryła wiele powtórzeń kampanii phishingowej AiTM, która od września 2021 r. miała na celu wycelowanie w ponad 10 000 organizacji”.
Ataki te nie wskazują na słabość pomocy makrofinansowej
Chociaż ten atak wykorzystuje uwierzytelnianie wieloskładnikowe, nie jest reprezentatywny dla jakiejkolwiek nieskuteczności tego środka bezpieczeństwa. Microsoft stwierdza w swoim poście na blogu, że dzieje się tak, ponieważ „phishing AiTM kradnie plik cookie sesji, atakujący zostaje uwierzytelniony w sesji w imieniu użytkownika, niezależnie od metody logowania, którą ten ostatni zastosowań".
Ponieważ uwierzytelnianie wieloskładnikowe może być tak ochronne, cyberprzestępcy opracowują sposoby na jego przezwyciężenie, co bardziej świadczy o sukcesie funkcji niż o jej zastrzeżeniach. Tak więc ta kampania phishingowa NIE powinna być postrzegana jako powód do dezaktywacji usługi MFA na swoich kontach.
Wyłudzanie informacji to przerażająco powszechna metoda ataku
Phishing jest obecnie przerażająco powszechną metodą ataku online, a ta konkretna kampania AiTM może wpłynąć na tysiące nieświadomych stron. Chociaż nie sugeruje to słabości MFA, pokazuje, że cyberprzestępcy opracowują obecnie nowe sposoby obchodzenia takich środków bezpieczeństwa.
